Aller au contenu principal

Collaboration entre Application Security et équipes de développement

Qu'est-ce que le modèle de responsabilité partagée AppSec ?

La responsabilité partagée signifie essentiellement que la sécurité doit être prise en charge par diverses équipes agissant en collaboration pour mettre en œuvre ses différentes couches tout au long du SDLC :

  • Les développeurs disposent d'un accès aux bons outils pour mettre en place leurs garde-fous et corriger les problèmes de sécurité avec lesquels ils sont le plus familiers, en contexte.
  • Les security engineers sont responsables de la définition et de la mise en œuvre des politiques de sécurité ainsi que de leurs contrôles. Le partage des responsabilités leur permet de consacrer plus de temps à enquêter sur les découvertes complexes ou à faible niveau d'assurance.
  • Les équipes Platform/Ops peuvent se voir confier des responsabilités ad hoc pour s'assurer que les contrôles de sécurité CI/CD sont correctement configurés, voire prendre en charge certains types de vulnérabilités.

Pourquoi en avons-nous besoin ?

La sécurité ne peut plus être une réflexion après coup ou être abordée uniquement lorsque les applications commencent à fonctionner dans des environnements de production.

L'approche everything-as-code ou l'effondrement du Software Development Lifecycle (SDLC) dans le Source Control Management (code source, configurations CI/CD, policy-as-code, infrastructure-as-code, documentation-as-code) a engendré toute une nouvelle gamme de vecteurs d'attaque. À son tour, cela a conduit à un changement dans les priorités des attaquants, des applications en runtime aux outils qui composent les environnements de développement et les pipelines CI/CD.

Les organisations ne peuvent atténuer de telles menaces qu'en abordant la sécurité en continu tout au long du SDLC, avec l'aide des développeurs qui conçoivent et écrivent le code qui va en production. Nos observations montrent qu'en moyenne, les organisations exécutent des programmes de sécurité applicative avec un à deux security engineers pour 100 développeurs. Dans une telle configuration, les vulnérabilités introduites dans le code source dépassent la capacité des équipes de sécurité à les gérer.

Seul un modèle de responsabilité partagée Application Security, où les développeurs apportent leur juste contribution, peut s'adapter à ce nouvel environnement.

Comment GitGuardian peut-il aider votre organisation à y parvenir ?

Pour les équipes AppSec

GitGuardian vise à :

  • Fournir aux équipes AppSec une visibilité et un contrôle sur les SCM, les outils DevOps et tous les autres composants du SDLC.
  • Alléger le fardeau de la remédiation en rapprochant les développeurs qui possèdent le contexte du processus.

Pour les équipes de développement

GitGuardian vise à :

  • Guider les développeurs tout au long du processus de remédiation (collecte de retours, étapes à suivre, etc.) et leur donner les moyens de résoudre les incidents par eux-mêmes lorsque c'est possible.
  • Équiper les développeurs d'outils de support (interface en ligne de commande, SDK, API REST) pour mettre en œuvre des garde-fous de sécurité dans les environnements qui leur sont les plus familiers.
Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API